个人信息保护指的是个人信息收集、使用、传输、储存、委托处理、共享、转让和公开的全生命流程所涉及的保护。涉及个人信息保护的公司需要建立起个人信息保护的管理制度,配备相应的组织和人员,制定个人信息安全事件管理机制。建立合法的个人信息保护机制是一个极为复杂的整体架构的搭建过程。
一、需要注意的问题
个人信息全生命周期中主要涉及的环节包括:个人信息的收集、传输、储存、使用。需要注意的问题至少包括如下方面。
(一)个人信息的收集
收集个人信息时需要具有合法性,遵循最小必要性原则,需要取得个人信息主体的授权同意。
1.收集个人信息需要符合合法性要求
a) 不应以欺诈、诱骗、误导的方式收集个人信息;
b) 不应隐瞒产品或服务所具有的收集个人信息的功能;
c) 不应从非法渠道获取个人信息。
2.收集个人信息需要符合最小必要性要求
a)收集的个人信息的类型应与实现产品或服务的业务功能有直接关联;直接关联是指没有上述个人信息的参与,产品或服务的功能无法实现;
b) 自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;
c) 间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。
3. 收集个人信息需要取得信息主体的授权同意
a) 收集个人信息,应向个人信息主体告知收集、使用个人信息的目的、方式和范围等规则,并获得个人信息主体的授权同意;
b) 收集个人敏感信息前,应征得个人信息主体的明示同意,并应确保个人信息主体的明示同意是其在完全知情的基础上自主给出
的、具体的、清晰明确的意愿表示;
e) 间接获取个人信息时:
1) 应要求个人信息提供方说明个人信息来源,并对其个人信息来源的合法性进行确认;
2) 应了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露、删除等;
3) 如开展业务所需进行的个人信息处理活动超出已获得的授权同意范围的,应在获取个人信息后的合理期限内或处理个人信息前,征得个人信息主体的明示同意,或通过个人信息提供方征得个人信息主体的明示同意。
(二)个人信息的存储
存储个人信息时需要注意以下方面:
1.个人信息存储时间最小化
a) 个人信息存储期限应为实现个人信息主体授权使用的目的所必需的最短时间,法律法规另有规定或者个人信息主体另行授权同意的除外;
b) 超出上述个人信息存储期限后,应对个人信息进行删除或匿名化处理。
2.去标识化处理
收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将可用于恢复识别个人的信息与去标识化后的信息分开存储并加强访问和使用的权限管理。
3.个人敏感信息的传输和存储
a) 传输和存储个人敏感信息时,应采用加密等安全措施; 注:采用密码技术时宜遵循密码管理相关国家标准。
b) 个人生物识别信息应与个人身份信息分开存储;
c) 原则上不应存储原始个人生物识别信息(如样本、图像等),
可采取的措施包括但不限于:1)仅存储个人生物识别信息的摘要信息;2) 在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能; 3)在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。
(三)个人信息的使用
a) 对被授权访问个人信息的人员,应建立最小授权的访问控制策略,使其只能访问职责所需的最小必要的个人信息,且仅具备完成职责所需的最少的数据操作权限;
b) 对个人信息的重要操作设置内部审批流程,如进行批量修改、拷贝、下载等重要操作;
c)对安全管理人员、数据操作人员、审计人员的角进行分离设置;
d)确因工作需要,需授权特定人员超权限处理个人信息的,应经个人信息保护责任人或个人信息保护工作机构进行审批,并记录在册;
e)对个人敏感信息的访问、修改等操作行为,宜在对角权限控制的基础上,按照业务流程的需求触发操作授权。例如,当收到客户投诉,投诉处理人员才可访问该个人信息主体的相关信息。
二、应该建立的机制
从以下方面入手建立并完善公司整体的个人信息保护机制。
1.明确责任部门与人员
a)应明确其法定代表人或主要负责人对个人信息安全负全面领导责任,包括为个人信息安全工作提供人力、财力、物力保障等;
b)应任命个人信息保护负责人和个人信息保护工作机构,个人信息保护负责人应由具有相关管理工作经
历和个人信息保护专业知识的人员担任,参与有关个人信息处理活动的重要决策直接向组织主要负责人报告工作;
2.个人信息安全工程
开发具有处理个人信息功能的产品或服务时,个人信息控制者宜根据国家有关标准在需求、设计、开发、测试、发布等系统工程阶段考虑个人信息保护要求,保证在系统建设时对个人信息保护措施同步规划、同步建设和同步使用。
3.个人信息处理活动记录
个人信息控制者宜建立、维护和更新所收集、使用的个人信息处理活动记录,记录的内容可包括:
a) 所涉及个人信息的类型、数量、来源(如从个人信息主体直接收集或通过间接获取方式获得);
b) 根据业务功能和授权情况区分个人信息的处理目的、使用场景,以及委托处理、共享、转让、公开披露、是否涉及出境等情况;
c) 与个人信息处理活动各环节相关的信息系统、组织或人员。
4.数据安全能力
个人信息控制者应根据有关国家标准的要求,建立适当的数据安全能力,落实必要的管理和技术措施,防止个人信息的泄漏、损毁、丢失、篡改。
5.人员管理与培训
a) 应与从事个人信息处理岗位上的相关人员签署保密协议,对大量接触个人敏感信息的人员进行背景审查,以了解其犯罪记录、诚信状况等;
b) 应明确内部涉及个人信息处理不同岗位的安全职责,建立发生安全事件的处罚机制;
c) 应要求个人信息处理岗位上的相关人员在调离岗位或终止劳动合同时,继续履行保密义务;
d) 应明确可能访问个人信息的外部服务人员应遵守的个人信息安全要求,与其签署保密协议,并进行监督;
个人敏感信息e) 应建立相应的内部制度和政策对员工提出个人信息保护的指引和要求;
f) 应定期(至少每年一次)或在个人信息保护政策发生重大变化时,对个人信息处理岗位上的相关人员开展个人信息安全专业化培训和考核,确保相关人员熟练掌握个人信息保护政策和相关规程。
6.安全审计
a) 应对个人信息保护政策、相关规程和安全措施的有效性进行审计;
b) 应建立自动化审计系统,监测记录个人信息处理活动;
c) 审计过程形成的记录应能对安全事件的处置、应急响应和事后调查提供支撑;
d) 应防止非授权访问、篡改或删除审计记录;
e) 应及时处理审计过程中发现的个人信息违规使用、滥用等情况;
f) 审计记录和留存时间应符合法律法规的要求。
三、如何开展相应的工作
个人信息保护机制的建立是一个系统的过程涉及制度的制定,人员的安排,技术的支撑。需要深入业务开展的各个环节,根据数据流程的各个节点具体设置。
建议在设置过程中引入第三方中介结构提供专业支撑。
四、相关法律法规
1.全国人民代表大会常务委员会关于加强网络信息保护的决
定
2.中华人民共和国网络安全法
3.中华人民共和国个人信息保护法(草案)2017版
4.、最高人民检察院关于办理侵犯公民个人信息
刑事案件适用法律若干问题的解释
5.互联网个人信息安全保护指南
6.工业和信息化部关于开展APP侵害用户权益专项整治工作的
通知
发布评论